[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
18/08/2011 22:25:51 (+0700) | #481 | 245274 |
|
insanity
Member
|
0 |
|
|
Joined: 20/02/2011 00:20:38
Messages: 17
Offline
|
|
Em thấy các bác nên nghiêng về kỹ thuật chút , tuy đọc không hiểu mấy mà thấy a TQN vừa phân tích vừa vạch trần STL thấy cũng thú vị , ngày nào cũng phải lên coi "update tin tức" .
P/S VietNamNet vào 23h15 e thấy chậm quá , chắc đang bị đấm túi bụi . |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
18/08/2011 22:54:57 (+0700) | #482 | 245277 |
kutruoi
Locked
|
0 |
|
|
Joined: 15/08/2011 12:47:31
Messages: 22
Offline
|
|
insanity wrote:
Em thấy các bác nên nghiêng về kỹ thuật chút , tuy đọc không hiểu mấy mà thấy a TQN vừa phân tích vừa vạch trần STL thấy cũng thú vị , ngày nào cũng phải lên coi "update tin tức" .
P/S VietNamNet vào 23h15 e thấy chậm quá , chắc đang bị đấm túi bụi .
ơ hay cái bác này lạ nhở ( mắng êu tí ).
a) bác download các con virus của bon stl về (các anh quản lý đã cho link từ đời nào rùi mà )
b) bác decode chúng ra (rce) xem xem bọn viruts đó có hành động dog ( em nhầm ddos ) như thế nào ?? cách thay đổi User Agents và fake Uagent ra sao để lừa hệ thống lọc của HVA .và update các lệnh từ con "master webserver" nào chứa bọn các pigs chờ của bọn stl.
c) bác download các loại tranh ảnh pigs chờ của đám "mèo què, mèo mù, mèo trột" stl về ..lại RC nó ra mà xem cái lõi nó viết gì và mục đích gì? ra lệnh kết nối ra làm sao để bọn vitut' mèo què ddog HVA ?
d) từ đó bác biết được "master webserver" nuôi dưỡng bọn pigs => bác biết được thông tin của con server đó nằm ở đâu bằng ba cái lệnh cơ bản và nâng cao, hoặc SE của riêng bạn
d) đó ..câu chuyện chỉ có thế của đám mèo què stl thế thôi. mỗi ngày bọn chúng có thể (mà khả năng ít lắm ) ngồi bóp chim nhau, hoặc tự tay póp dái cố vắt cái óc đậu phụ của bọn chúng xem có thiết kế được kiểu ...fa' hoại nào khác ko ?? ho' ho' .
e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh .
-> luu ý thì các anh TQN,conmale, PXMMRF cung da lưu ý rùi, minh xin nhắc lại là có làm gì với đám vitut' kia thi cân thận ko lại ...tự ddos HVA lúc nào ứ biết tèo teo ..
f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .
iêu bạn và ôm các anh HVA
|
|
mời bạn ghé xem site này hay quá ! http://danlambaovn.blogspot.com |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 01:43:44 (+0700) | #483 | 245283 |
phanledaivuong
Member
|
0 |
|
|
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
|
|
kutruoi wrote:
e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh .
Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ .................
Đọc kỹ sẽ thấy anh nói hết rồi mà.
- Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%.
- Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US.
- HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL.
Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA.
Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.
kutruoi wrote:
f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .
Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo.
Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 03:44:14 (+0700) | #484 | 245285 |
eicar
Member
|
0 |
|
|
Joined: 25/01/2011 06:49:53
Messages: 13
Offline
|
|
Em xin rút lại những lời đã nói ở bài viết đầu tiên, đúng là vào đâu thì nên tôn trọng những người đã bỏ công ra bảo vệ nơi đấy. Em xin lỗi các bác Admin vì đã ăn nói không đúng. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 07:48:29 (+0700) | #485 | 245289 |
kutruoi
Locked
|
0 |
|
|
Joined: 15/08/2011 12:47:31
Messages: 22
Offline
|
|
phanledaivuong wrote:
kutruoi wrote:
e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh .
Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ .................
Đọc kỹ sẽ thấy anh nói hết rồi mà.
- Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%.
- Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US.
- HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL.
Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA.
Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.
kutruoi wrote:
f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .
Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo.
Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết
@phanledaivuong : cảm ơn anh nhìu vì đã cho em thêm ý kiến nha anh
@eicar : hoan hô bạn, vì đã biết, và dám nhìn nhận và xin lỗi . mình tin bạn sẽ thành công. chúc bạn nhiều may mắn nha.
|
|
mời bạn ghé xem site này hay quá ! http://danlambaovn.blogspot.com |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 07:58:29 (+0700) | #486 | 245290 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
@ kutruoi
Chi tiết bảo mật của HVA không thể công bố rộng rãi ngay lúc này bởi vì lý do quá hiển nhiên . Tuy nhiên tớ cũng có thể tổng quát hoá một số điểm nền tảng như sau:
1. Băng thông:
Để giảm thiểu tình trạng bão hoà băng thông, HVA mở ra thêm 2 nhánh: Nhật và Đức. Cả hai nhánh này không cần CPU quá nhanh, memory quá nhiều mà chỉ cần băng thông tốt. Tổng cộng 3 nhánh của HVA có 2.1Gbit nhưng điều quan trọng là requests để "đốt" HVA bị chẻ ra do DNS round robin. Bởi vậy, chẳng khi nào có nhánh nào bị ngập lụt. Hơn nữa, để điều động một botnet thường xuyên có khả năng dội > 2Gbit là chuyện không đơn giản. Hiện nay, theo đo đạt thì botnet của stl nằm ở tầm 5Mbit vì khá nhiều zombies đã đi về cõi.. vĩnh hằng .
2. Giới hạn requests:
Tất cả những cú DDoS thông thường là trông chờ vào trường độ và cường độ. Trường độ thì khó kiểm soát vì zombies có thể bị shutdown bất cứ lúc nào (người dùng tắt máy chẳng hạn) nhưng cường độ thì có thể thực hiện bằng cách gởi càng nhiều requests càng nhanh thì càng tạo cường độ. Mặt tiêu cực của biện pháp trở nên hiển nhiên bởi vì những anh nào mà đập càng nhanh vô HVA thì càng đích thị là DDos ---> /dev/null.
3. Giới hạn crawling:
Botnet của stl thích... bò . Bởi vậy, chúng cứ nhè cái gì có đường dẫn là... bò. Cách triệt tiêu hành động bò này là làm sao cho chúng không thấy được đường dẫn. Có nhiều cách từ đơn giản đến phức tạp. Ví dụ, áp dụng biện pháp obsfucate links bằng nhiều cách. Bots của stl không thể là trình duyệt bình thường (nếu không thì kích thước của nó phải cả chục Mb và có đầy đủ mọi thứ như trình duyệt ) cho nên có những thứ bots không thể hiểu nổi.
4. Kiểm soát sessions:
Bởi vì bots của stl "bò" cho nên chúng nhận được cookie ấn định cho session và bởi vậy, chúng có thể "bò" sâu vô trong. Nếu nhận ra chúng là dạng... "bò" thì invalidate ngay session của chúng thì chúng không bò được nữa. Nói một cách khác, đây là trường hợp "con gà và quả trứng", nếu chúng bò được thì chúng nhận được session cookie và nhận được session cookie thì chúng tiếp tục bò. Bởi vậy, chặn không cho bò thì không thể có cookie có giá trị (và cookie xạo thì chắc chắn không có giá trị rồi e.g. bài học xưa: fixation session cookie).
5. Tuning:
Đây là phần tối quan trọng. Bất cứ mọi thứ từ nhỏ nhất tới lớn nhất đều phải đo đạc và tune tối đa. Từ kernel parameters cho đến từng giá trị trong cấu hình của dịch vụ web đều phải cân nhắc kỹ. Tất cả các giá trị "timeout" đều phải đồng bộ từ trên xuống dưới để tránh "ông đánh trống, bà thổi kèn" và tạo negative impact. Ngay cả những luật giới hạn requests cũng phải được theo dõi, phân tích và điều chỉnh để làm sao tránh tạo cản trở cho người dùng thật.
6. Tài nguyên:
Cái này thì không thể thiếu được. Cho dù có làm gì đi chăng nữa mà CPU, memory, diskspace không đủ thì chỉ chờ đón... "cái chết đến chậm" . Đầu tháng 8, có lần stl chơi trò rỉ rả mà tạo gần 90 ngàn sessions (y hệt như 90 ngàn thành viên và khách đang viếng diễn đàn). Trước đó, application server không có đủ memory assigment, không đủ threads cho nên lên tới chừng quá 10 ngàn là ngỏm củ tỏi. Tài nguyên cần ấn định cho hợp lý và thậm chí thứa sức để chịu đựng nếu như vòng phòng thủ bị lủng lổ . Già sử mỗi session cần 10k real memory thì application server phải có ít nhất là 1Gb Ram để phục vụ cho 100 ngàn sessions. Cứ vậy mà tính lên. Ngoài ra, backend database cần phải đủ tài nguyên, đủ connections để phục vụ. Cái gì cache được thì cache, cái gì không cache được thì delay công tác "COMMIT" vào database để giảm thiểu CSDL bị dập. Không đủ tài nguyên thì phải nâng cấp.
Nói chung, chống DDoS là công tác kiện toàn bảo mật nghiêng hẳn về phía optimisation và tunning. Một website được xây chỉ để "chạy được" nhưng chưa "chạy tốt" thì sẽ chết trong tích tắc. Một website "chạy tốt" thì sống lâu hơn nhưng cũng sẽ chết. Một website chạy cực tốt thì cầm cự lâu hơn để quản trị có đủ thời gian phân tích và đối phó. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 08:28:43 (+0700) | #487 | 245292 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Vậy thì chia buồn tiếp tục với mấy anh stl về các con zombies đã xuống địa ngục yên nghỉ (không dám được lên thiên đàng đâu ). Không phải tại tụi em nhe, tại mấy cái AV nó gặp là mừng húm, nhảy vào nhai xương "mèo què" của mấy anh liền, em có cản cũng không kịp
Đùa một chút vậy thôi, em xin kêu gọi mọi người tiếp tục chung tay tiêu diệt các hành động xấu xa (... tùm lum hết, nói hoài chán rồi) của mấy anh ăn lương nhưng làm chuyện xấu stl:
1. Tiếp tục submit mẫu các zombies (virus, malwares) của mấy anh stl lên các AV mà các bạn đang dùng. Toàn bộ mẫu mà em có của stl tới nay được up ở đây http://www.mediafire.com/?tz745o0f678w8. Các bạn sort theo date, down các mẫu mới về rồi gởi mẫu lên các AV.
Càng nhiều người tham gia gởi mẫu thì khả năng virus của stl bi detect là clean (sạch) sẽ càng thấp.
2. Nếu các AV chưa cập nhật và phát hiện ra, các bạn có thể tự tìm diệt bằng tay. Chỉ cần một bộ tool: SysInternalsSuite và Gmer, chép lên USB là các bạn có thể dể dàng diệt đám "mèo què" này rồi. Rất dể diệt: kill hay suspend process EXE của nó, xoá, run AutoRuns để xoá, dọn dẹp registry.
Các bạn tìm và diệt trên máy các bạn, máy trong gia đình, trường học, cơ quan các bạn. Đồng thời phổ biến rộng rãi tới mọi người quen, mọi người trong cơ quan, trường học các bạn, bằng mail, Facebook, forum, blog...
3. Và quan trọng, làm sao cho mấy cái website còn sống ngáp ngáp của stl như speed.cyline.org, map.priper.info đi die luôn. Các bạn cùng nhau submit các địa chỉ chứa virus đó như là bad link cho Google, McAfeee.... bất cứ tổ chức nào mà các bạn biết. Càng nhiều người report thì khả năng các website, các host đó chết càng cao.
Các bạn đừng nghĩ đây chỉ là vấn đề của HVA với stl. Tụi này đang ddos Vietnamnet, ddos danlambaovn và một loạt các blog khác. Nếu không tiêu diệt nó, tới ngày nào đó, tụi nó thống trị Internet VN ta, và các bạn sẽ là zombies cho tụi nó site khiến, máy tính của các bạn không còn là của bạn nữa, mọi hành động trên máy của các bạn tui nó sẽ nắm hết, website của các bạn sẽ bị ddos bất kỳ lúc nào tụi nó muốn, chỉ mất tầm 15 phút thay đổi file config để đặt link tới website của các bạn là xong, website của các bạn đi luôn.
Các bạn nên nhận thức được tầm nguy hiểm của nhóm stl này. Mọi người đều có thể là nạn nhân của stl. Vd như tôi đây, hồi xưa do xỉn xỉn, sương sương và sơ hở trong lúc rce mẫu của tụi nó, bị mất hết pass google, yahoo, pass và id của 3 tài khoản ở ngân hàng, bị tụi nó bêu xấu chính trên blog của mình, rồi dùng chính nick của tôi chat tầm bậy tầm bạ với các bạn khác, vu khống tôi, còn lên HVA post bậy bạ. Tức trên trình duyệ của tôi (và cũng sẽ của các bạn) có lưu username và pwd nào, tụi nó đều có hết. Tới bây giờ, ngồi viết lại mà còn tức, chỉ khi nào có thằng stl nào vào đây công khai xin lỗi tôi và HVA thì mới thôi..
Tôi chỉ là một nạn nhân nhỏ của stl, không sao cả, mất pass, mail, blog rồi vẫn lấy lại được hết, nhưng còn biết bao nhiêu người bị tụi nó "bạch hoá" hèn hạ, xấu xa, bị làm nhục, đời tư, cá nhân, gia đình bị bôi xấu, bêu riếu khắp Internet, bị hăm doạ. Các bài viết tâm huyết, trăn trở của họ viết trên blog của họ, của nạn nhân khác bị xoá hết, bị chiếm blog.... Nếu các bạn ở trường hợp như họ, các bạn có căm tức không ?
Vài lời chân thành và mong mọi người tiếp tục tham gia ! Chúng ta thấp cổ bé miệng, không có quyền lực gì như các ISP, các tổ chức "nổ" trong nước, pháp luật thì làm ngơ, báo chí thì chắc có lẽ bị cấm đăng tin... nhưng đoàn kết lại, chúng ta sẽ mạnh hơn nhiều và thừa sức tiêu diệt được cái team xấu xa stl, muốn làm "minh chủ Internet lâm" mọi người dân Việt Nam ta.
PS: Lâu rồi mới viết nghiêm túc như vậy, cà rỡn quen rồi |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 08:42:17 (+0700) | #488 | 245293 |
|
elt0m
Member
|
0 |
|
|
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
|
|
Cảm ơn các bác conmale, TQN, PXMMRF...và các thành viên của HVA đã giúp tôi mở mang kiến thức và có những cách phòng vệ khỏi bọn Sờ Ti Lợn này, bọn này đúng là rác rưởi!
Tôi biết mình đang spam nhưng khi đọc các vấn đề kỹ thuật và tâm huyết của các bác, cảm thấy thán phục vì nhiệt huyết dành cho cộng đồng, mặc dù các anh cũng phải bươn trải cơm-áo-gạo-tiền.
Vài lời gửi đến các anh!
Chúc mọi điều tốt đẹp đến với các anh và HVA!
elt0m (thành viên rất cũ mà cũng rất mới) |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 08:59:56 (+0700) | #489 | 245296 |
mv1098
Member
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
@conmale
Có 1 vấn đề này em hay bị mắc phải
khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 09:03:46 (+0700) | #490 | 245298 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
mv1098 wrote:
@conmale
Có 1 vấn đề này em hay bị mắc phải
khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được.
Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 09:16:38 (+0700) | #491 | 245300 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Tới sáng nay, stl vẫn dai dẵng ddos vào các site, blog sau, dùng hai thằng bot nằm vùng SbieMgm.dll và SbieSvc.exe
1. http://danlambaovn.blogspot.com
2. http://www.aihuuphuyen.org
3. http://nguoiduatinkami.wordpress.com
4. http://vrvradio.com
5. http://aotrangoi.com
6. http://viettan.org
7. http://dangviettan.wordpress.com
8. http://radiochantroimoi.com
9. http://radiochantroimoi.wordpress.com
Ở trên là config của backgrounds.jpg, còn showthread.php thì hơi khác một chút, tập trung chính vào danlambao:
Code:
GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
http://danlambaovn.blogspot.com
GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
http://danlambaovn.blogspot.com
/favicon.ico
GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
http://danlambaovn.blogspot.com
Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 09:47:30 (+0700) | #492 | 245302 |
phanledaivuong
Member
|
0 |
|
|
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
|
|
TQN wrote:
Tới sáng nay, stl vẫn dai dẵng ddos vào các site, blog sau, dùng hai thằng bot nằm vùng SbieMgm.dll và SbieSvc.exe
1. http://danlambaovn.blogspot.com
2. http://www.aihuuphuyen.org
3. http://nguoiduatinkami.wordpress.com
4. http://vrvradio.com
5. http://aotrangoi.com
6. http://viettan.org
7. http://dangviettan.wordpress.com
8. http://radiochantroimoi.com
9. http://radiochantroimoi.wordpress.com
Ở trên là config của backgrounds.jpg, còn showthread.php thì hơi khác một chút, tập trung chính vào danlambao:
Code:
GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
http://danlambaovn.blogspot.com
GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
http://danlambaovn.blogspot.com
/favicon.ico
GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
http://danlambaovn.blogspot.com
Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên.
Tự hỏi danlambao là xài blogspot là hàng của google? không hiểu tụi Sờ Ti Lợn này cũng có óc lợn luôn hay sao. DDoS nó khác gì DDoS google. mà với lượng bot như anh conmale nói là 5Mbps thì sao có thể cho danlambao die được |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 09:51:37 (+0700) | #493 | 245303 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
He he, hôm qua anh thấy một đống zombies đập đầu vô "favicon.ico", anh hơi ngạc nhiên. Thử chạy cái decode thì thấy nó không đánh HVA mà đánh danlambao nhưng không hiểu sao HVA vẫn bị đập vô "favicon.ico". Chứng tỏ chắc chắn có một botnet khác. Chuyện khôi hài ở chỗ các bạn stl bị tẩu hoả nặng rồi. Hết chỗ đập lại đi đập vô "favicon.ico" là sao không biết . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 10:19:14 (+0700) | #494 | 245305 |
Dpm
Member
|
0 |
|
|
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
|
|
Chắc là mấy bác ấy muốn đánh vào băng thông hva,vì favicon.ico là 3.6K,còn đánh vào 1 link bất kỳ server sẽ trả vể 403 nội dụng 2.1K,dù sao mỗi request cũng đc 1.5K . |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 10:57:32 (+0700) | #495 | 245308 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
conmale wrote:
Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe".
Trong suốt quá trình nhiễm này, có hai tiểu đoạn:
1. Tạo ra:
C:\Program Files\Adobe\Updater6
[ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe
2. Điều chỉnh registry:
- Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]
- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]
- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ]
- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ]
Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.
Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?
conmale wrote:
PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN.
Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" .
Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 11:37:04 (+0700) | #496 | 245311 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bolzano_1989 wrote:
conmale wrote:
Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe".
Trong suốt quá trình nhiễm này, có hai tiểu đoạn:
1. Tạo ra:
C:\Program Files\Adobe\Updater6
[ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe
2. Điều chỉnh registry:
- Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]
- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]
- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ]
- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ]
Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.
Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?
conmale wrote:
PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN.
Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" .
Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP.
Anh thử ngay trên máy chạy XP ở nhà với quyền user bình thường. STL malware hoàn toàn không thể chỉnh registry, không thể hoàn tất quá trình.. nhiễm được. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 13:01:45 (+0700) | #497 | 245319 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ? |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 13:23:13 (+0700) | #498 | 245323 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Đoạn viết trên của tôi mà bolzano_1989 trích ra, có thể gây hiểu nhầm.
Vì sau khi anh conmale có ý kiến nhận đinh. Ý kiến này cũng đã được bolzano_1989 trích ra sau đó (như thấy ở trên), thì tôi đã có ý kiến giải thích ngay, như sau:
PXMMRF tai trang 7 topic nay wrote:
Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý giỡn vui với rang0 chút chút)
Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao.
Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh!
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 13:24:44 (+0700) | #499 | 245324 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ?
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 14:01:54 (+0700) | #500 | 245327 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
conmale wrote:
bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ?
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.
Khi format ổ đĩa với file system FAT 32 hay với cà NTFS, cài Win XP và không config. lai "local policies" (trong Computer Management----> Local policies---->Security Options) thì dù chạy máy với account limited, có thể vẫn bị nhiễm STL virus.
Cái khái niệm "limited right" trong XP khá mơ hồ và chẳng có user thông thường nào biết chuyện config. lại "local policies". Ngay cả chúng ta, muốn config kỹ và toàn bộ khoảng trên dưới 50 mục trong Security Options cho thật chuẩn, thì cũng không dễ dàng gì. Hì hì.
Tính bảo mật cao của NTFS dường như chỉ phát huy trong Win 2K và Win 2K3 (Win 2k8 thì đương nhiên rồi). Ngay việc phân chia account và xác đinh quyền cho từng loại account trong Win 2K Pro, Win 2K3 cũng kỹ và hay hơn Win XP nhiều. Điều này tôi cũng đã viết trong một post trong topic này |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 15:07:12 (+0700) | #501 | 245335 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
conmale wrote:
bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ?
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.
Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SbieSvc (Sandboxie Service)
Publisher: (Not verified) tzuk
%userprofile%\application data\sandboxie\sbiesvc.exe |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 15:20:17 (+0700) | #502 | 245336 |
mv1098
Member
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
@anh PXMMRF, conmale, bolzano_1989
Trong Windows XP đăng nhập bằng account limited
khi 1 ứng dụng thay đổi trong Registry liên quan đến HKEY_LOCAL_MACHINE hoặc liên quan đến các system folder thì nó sẽ bị limited và yêu cầu chạy trên tài khoản Administrator
Nhưng nếu những ứng dụng thay đổi trong Registry chỉ liên quan đến HKEY_CURRENT_USER thì nó vẫn có thể thực hiện được.
( ở đây là các ứng dụng chưa được setup trên Windows trước đó ) |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 15:32:21 (+0700) | #503 | 245341 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bolzano_1989 wrote:
conmale wrote:
bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ?
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.
Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SbieSvc (Sandboxie Service)
Publisher: (Not verified) tzuk
%userprofile%\application data\sandboxie\sbiesvc.exe
Malware của stl khi anh chạy thử là trên Windows XP SP3, đĩa NTFS và anh ghi nhận được nó bị dừng lại khi thực hiện công tác chép AcrobatUpdater.exe vô trong C:\Program Files\Adobe\.
Nếu anh thử chạy bằng administrator account, nó thực hiện tuồn tuột hết kể cả ghi cái này vô registry:
[ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]
|
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 21:02:51 (+0700) | #504 | 245375 |
|
maithangbs
Elite Member
|
0 |
|
|
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
|
|
conmale wrote:
mv1098 wrote:
@conmale
Có 1 vấn đề này em hay bị mắc phải
khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được.
Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết.
Em thì luôn phải vào HVA theo 1 trong hai cách, từ trang chính hoặc mở thẳng một topic đã được bookmarks sẵn. Tuỳ từng lúc một trong hai cách đó sẽ được. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 21:22:54 (+0700) | #505 | 245378 |
|
Vanxuanemp
Member
|
0 |
|
|
Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline
|
|
Không hiểu sao máy này khi truy cập vào postblog.com của google lại bị báo là đang DDOS, mà dùng SmartSniff v1.8 thấy nhiều truy vấn lạ, xem Process Explorer 15.01 không phát hiện ra được, hic hic, gà nên chả biết sao!
Có file log HijackThis 2.0.4 nhờ các bác phân tích giúp:
http://www.mediafire.com/?u0c5e6zr5h6gcui
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 21:31:03 (+0700) | #506 | 245380 |
phuongnvt
Member
|
0 |
|
|
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
|
|
mà có khi mình đang trả lời bài viết ngon trớn không biết tại sao không thể đánh được chữ nữa,chuột thì vẫn di chuyển được mà đánh chữ thì không được, phải tắt hẳn trình duyệt rồi vào lại mới được.Làm mình cụt cả hứng luôn vì văn đang tuôn ra!!!!!!!!!1 |
|
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 22:18:10 (+0700) | #507 | 245381 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
@ Vanxuanemp: Cậu up lên mediafire giùm 2 file này:
1. C:\Documents and Settings\Quyen\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
2. D:\Setup\Bo Office\Bo Ban phim\Unikey\UniKey40RC2\011109\Unikey40RC2W32\UniKeyNT.exe
Gấp nhé, cảm ơn ! |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
19/08/2011 23:42:44 (+0700) | #508 | 245387 |
|
Vanxuanemp
Member
|
0 |
|
|
Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline
|
|
Đây là 2 link file mà TQN yêu cầu:
http://www.mediafire.com/?47tc65lag46341h
http://www.mediafire.com/?2hbcb7yc9b6lqpc
Có thể nào trong công ty tôi đang có máy nào nhiễm STL, dẫn đến GG báo như vậy không?
Hiện mạng trong công ty đang có mấy chú Tầu cùng làm việc!
Hầu hết các phần mềm tôi bao giờ cũng vào trang chủ download về, cả bản unikey kia, cũng như là GChr! |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
20/08/2011 04:57:05 (+0700) | #509 | 245390 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
mv1098 wrote:
@anh PXMMRF, conmale, bolzano_1989
Trong Windows XP đăng nhập bằng account limited
khi 1 ứng dụng thay đổi trong Registry liên quan đến HKEY_LOCAL_MACHINE hoặc liên quan đến các system folder thì nó sẽ bị limited và yêu cầu chạy trên tài khoản Administrator
Nhưng nếu những ứng dụng thay đổi trong Registry chỉ liên quan đến HKEY_CURRENT_USER thì nó vẫn có thể thực hiện được.
( ở đây là các ứng dụng chưa được setup trên Windows trước đó )
Khi dùng tài khoản limited trong WinXP (SP2 hoặc SP3)và không điều chỉnh "Security Options" trong computer management (để ở chế đô default) thì có thể cài và chạy một soft hay application trong các trường hợp sau:
- Portable soft.
- Stand-alone soft., application
- Application đươc soạn thảo dùng cho all users (thí dụ các trình duyệt)
Soft hay application không cài đươc và/hoăc không chạy khi trong quá trình cài đặt hay chạy nó phải access vào các folder/file mà account limited không có quyền mở, kích hoạt các service mà nó không có quyền, cũng như tạo một số loại registry không đươc phép....
Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì:
- Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết.
- Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
20/08/2011 07:46:28 (+0700) | #510 | 245398 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
@ Vanxuanemp: cả hai file trên đều là file sạch. Cậu check tính năng "Verify Image Signatures" trong menu Options của Process Explorer lên, sau đó cậu chịu khó zip tất cả các exe mà Process Explorer báo là "Unable to Verify" lại, up lên mediafire nhé !
Một bài viết rất hay trên SysInternals vừa được public, mô tả tương đối chi tiết cách dùng các tool của SysInternals để detect và kill malware, các bạn chịu khó đọc nhé: http://download.sysinternals.com/Files/SysinternalsMalwareCleaning.pdf
Đợi mẫu của bạn ! |
|
|
Users currently in here |
3 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|